Toda vez que tenho que contratar um serviço de pentest passo pela mesma ladainha. As empresas enviam propostas técnicas e os currículos de seus analistas com a cacetada de CVE’s que eles publicaram.

People, empresas sérias não contratam pentest baseando-se na quantidade de cve’s publicados, mas sim na experiência, na capacidade de entrega e na qualidade do relatório de análise/conclusão.

Quero uma análise da segurança do meu webserver, do meu app java ou php, então por que devo contratar um cara que publicou um CVE sobre um buffer overflow em um linksys da vida ?

Pense nisso antes de enviar a proposta – foco.